Desabilitando cifras anônimas no Apache não funciona

1

Temos um servidor Apache 2.2.3 com OpenSSL 0.9.8e-fips-rhel5. Estou executando a seguinte configuração SSL no meu VirtualHost. Não consigo encontrar nenhum outro arquivo de configuração com nenhuma diretiva SSL.

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite CDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

No entanto, ainda estou com falha na verificação do SslLabs com a seguinte mensagem:

This server supports anonymous (insecure) suites

Por que ainda está falhando se eu estou usando apenas cifras strongs e não consigo encontrar nenhuma configuração importante em algum lugar?

    
por blizz 25.12.2015 / 05:35

1 resposta

1

openssl ciphers -v com a string de cifra mostrará a lista.

Você não desativa a criptografia nula com! eNULL. O OpenSSL não o habilita mesmo em TODOS, mas também pode torná-lo explícito.

Verifique se há arquivos de configuração contendo SSL. E confirme se o httpd está escutando nessa porta.

Você pode obter uma segunda opinião com um script de verificação SSL / TLS local. Há alguns bons que mostram exatamente quais cifras eles usam.

Cifras strongs são relativas. O OpenSSL 0.9.8 não pode realmente fazer o TLS 1.1 ou 1.2, por isso não fornecerá segurança moderna (nem pontuará bem em SSLLabs).

    
por 29.12.2015 / 08:11